A distanza di poche ore dalla pubblicazione delle patch Microsoft di novembre 2022, facciamo il punto sugli aggiornamenti del mese più importanti.
Delle 68 vulnerabilità complessivamente risolte questo mese, di una se ne conoscevano già i dettagli tecnici e 4 di esse sono attivamente sfruttate per condurre attacchi mirati o su scala più ampia. 10 vulnerabilità sono indicate da Microsoft come a elevata criticità.
Microsoft ha finalmente risolto il problema di sicurezza segnalato nelle scorse settimane dal ricercatore Will Dormann e relativo al meccanismo di protezione conosciuto come Mark-of-the-Web (MotW). Si tratta di un bug definito colossale perché con un doppio clic può portare all’esecuzione di codice dannoso.
Di norma, infatti, Windows non esegue mai codice che proviene da sistemi remoti (allegati alle email, file scaricati dal Web,…) e mostra un avviso esplicito informando l’utente sulla potenziale pericolosità di questi contenuti. Sfruttando una lacuna di sicurezza, nessun messaggio d’allerta veniva presentato agli utenti. Con l’installazione della correzione per la falla CVE-2022-41091 è possibile mettere definitivamente una pezza.
La patch riguarda gli utenti di Windows 10, Windows 11 oltre alle versioni più recenti di Windows Server.
Oltre alla falla relativa al Mark-of-the-Web, i criminali informatici stanno largamente utilizzando nei loro attacchi anche la vulnerabilità CVE-2022-41125.
In questo caso la falla di sicurezza fa leva su un bug presente nel servizio CNG Key Isolation, a sua volta parte del processo Local Security Authority (LSA) e dello stack crittografico di Windows. L’utente malintenzionato può acquisire i privilegi SYSTEM con un attacco complessivamente molto semplice e senza alcuna interazione da parte della vittima.
Due falle di sicurezza scoperte nella gestione del codice di scripting (JScript9) possono invece essere sfruttate da parte dei criminali informatici per eseguire codice arbitrario su tutte le versioni di Windows.
I due aggiornamenti Microsoft correggono le falle CVE-2022-41128 e CVE-2022-41118: la prima è già stata sfruttata per sviluppare codice exploit funzionante.
Per eseguire codice dannoso sul sistema vulnerabile, un aggressore deve indurre la vittima a visitare una pagina Web malevola appositamente congegnata.
Da mettere in evidenza il nuovo intervento di Microsoft sul funzionamento dello spooler della stampante: come già accaduto a più riprese in passato, la falla CVE-2022-41073 potrebbe essere utilizzata per l’acquisizione di privilegi più elevati a livello locale.
Tre correzioni riguardano ancora una volta l’implementazione del protocollo PPTP (Point-to-Point Tunneling Protocol), ormai considerato obsoleto e intrinsecamente insicuro ma purtroppo ancora in uso per la gestione di molte VPN. Le varie falle (CVE-2022-41039, CVE-2022-41044, CVE-2022-41088), adesso corrette, possono portare all’esecuzione di codice arbitrario sulla macchina.
I tecnici di Microsoft hanno inoltre a loro volta corretto il problema di sicurezza in OpenSSL: gli interventi hanno permesso di risolvere le due vulnerabilità critiche di OpenSSL già risolte dagli sviluppatori della libreria che permette la gestione dei protocolli SSL e TLS.
Windows di default non utilizza OpenSSL ma la libreria è integrata in alcuni prodotti Microsoft come Azure SDK for C++, Azure Kubernetes Service e vcpkg.
ISC-SANS pubblica la lista degli aggiornamenti di sicurezza Microsoft di novembre 2022 con un breve commento circa l’importanza di ciascuno di essi.
Per approfondire è possibile consultare anche i report elaborati da Sophos e Cisco Talos.